Разделение домашней сети | Руководство и пример

432
fußballball

Прежде всего, спасибо за возможность задать мой вопрос здесь. Я взволнован тем, что скоро зайду в свои первые 4 стены, и мне показалось, что пришло время заняться безопасностью и изоляцией сети. Как всегда, наверное, лучше и проще всего сделать это с самого начала.

Ресурсы, которые я проверил до сих пор:

Я проверил и другие ресурсы, например, онлайн-курс, но они не дали быстрых суммируемых результатов.

Настройка и проблема:

У меня в квартире будет несколько IoT-устройств - лампочки Philips Hue, Raspberry Pi (возможно, подключен Ethernet), умные розетки, амазонка Fire Stick TV и т. Д. [Все они будут подключены без проводов), а также два ноутбука [также по беспроводной сети], и в какой-то момент в будущем может появиться домашний сервер для хранения изображений, фильмов или больших данных (если возможно, локальных сетей), которые анализируются.

То, что я хотел бы сделать, это поместить ноутбуки в отдельную VLAN, устройства IoT - в другую, сервер - в другую, и, возможно, Raspberry Pi - в четвертую - это будет использоваться для проверки трафика.
Я хочу сделать это, особенно для устройств IoT, из соображений безопасности. Поэтому мне нужно будет правильно настроить свой брандмауэр - любые ресурсы, особенно по этим вопросам, будут высоко оценены.

Что я ищу с этим вопросом

Я ищу две вещи:
- Я хотел бы иметь маршрутизатор, коммутатор и модем (а также беспроводную точку доступа) в одном устройстве - маршрутизатор, который я буду использовать. Есть ли устройство (по разумной цене), способное настроить VLAN, в том числе беспроводным способом? Поддерживают ли это большинство современных маршрутизаторов?
- Как я могу прочитать из спецификации продукта, способно ли устройство сделать это или нет? Какие стандарты необходимо поддерживать? 802.1Q?

Дополнительный вопрос)

  • Насколько я знаю, большинство IoT-устройств общаются локально - это правда? Другими словами, если я хочу отключить интеллектуальную розетку, должен ли я быть в той же сети (я бы попробовал сам, но у меня еще нет этих устройств ...)
  • Брандмауэр будет иметь простые правила: IotDevice.VLAN - не разрешено инициировать исходящие соединения.
    Однако было бы идеально, если бы некоторые VLAN могли это делать. Например, privateLaptop.VLAN должен иметь возможность подключаться к storageServer.VLAN и raspberryPi.VLAN. В этом контексте целесообразно ли просто отказаться от идеи сетей VLAN и подумать о правилах межсетевого экрана для реализации? Или VLAN вместе с правилами межсетевого экрана - лучшая идея?

Я готов установить кастомную прошивку на роутер, если это поможет мне достичь этих целей.
Любые другие ресурсы, которые я могу использовать для чтения по этой теме, также высоко ценятся.

Спасибо!

PS: это то, что я представляю, как сеть: I added an image of how I imagine my setup to be, to further understanding in case anything was unclear

4
Мне в целом нравится этот вопрос, но чтобы лучше соответствовать актуальности Super User, я бы порекомендовал вам удалить немного о рекомендации конкретного продукта (и, возможно, задать соответствующий вопрос на [hardwarerecs.se]). Бит интерпретации спецификации продукта здесь уместен. Bob 5 лет назад 0
Кроме того, хотя я постараюсь написать общий ответ, не стесняйтесь заходить в [наш чат] (https://chat.stackexchange.com/rooms/118/root-access) (как только у вас будет 20 репутации) и обсудим подробнее Bob 5 лет назад 0
Спасибо! Я удалил часть рекомендации продукта в вопросе. Присоединюсь к чату как можно скорее. Кроме того, я уже упоминался здесь из сетевой инженерии - как только у меня будет общее представление о том, что делать, я опубликую конкретные вопросы аппаратного обеспечения на упомянутом форуме, спасибо за подсказку. fußballball 5 лет назад 0

1 ответ на вопрос

4
Bob

Я собираюсь описать ваши общие аппаратные опции для такой установки дома. Подробную конфигурацию лучше оставить для более конкретных вопросов или даже для чата, тем более что это будет зависеть от того, какое оборудование вы выберете.

Некоторые заметки о скорости

Я также игнорирую общую пропускную способность сети. Как правило, вы должны достичь полной скорости коммутации в пределах одной VLAN. Через VLAN вы будете ограничены вашим маршрутизатором (в зависимости от загрузки процессора и аппаратного обеспечения). К интернету вы снова будете ограничены вашим роутером (процессор и разгрузка, включая NAT на этот раз). Маршрутизаторы стоимостью менее 100 долл. Нередко видят ограничение в 100-300 Мбит / с через NAT для интернета. Вам понадобится более мощное оборудование, если у вас более быстрое подключение к Интернету.

Типы продуктов

  • Сети VLAN достаточно стандартны для сетевого оборудования для бизнеса и предприятий. Хотя они обычно поставляются как отдельные устройства, а не все в одной коробке, они обычно будут делать то, что вы хотите. Лучше всего не только просматривать таблицы спецификаций, но и просматривать руководство по доступным опциям конфигурации.
  • Кастомная прошивка для бытового оборудования также часто поддерживает VLAN, но может отсутствовать, как правило, в зависимости от оборудования, которое вы перепрошиваете. Есть, конечно, обычное предостережение об отсутствии поддержки и возможности нестабильности с кастомными прошивками. Вам нужно будет провести немало исследований, читая заметки разработчиков и темы на форуме, чтобы найти подходящее оборудование для прошивки.
    • Чисто программная маршрутизация обычно работает, хотя конфигурация может быть сложной, в зависимости от того, какую прошивку вы прошиваете.
    • Переключатель может или не может работать, в зависимости от оборудования. Некоторые потребительские маршрутизаторы открывают каждый порт индивидуально для программного обеспечения (поэтому вы видите в программном обеспечении от eth0 до eth4), что позволяет применять теги VLAN на основе портов. Другие будут использовать аппаратный коммутатор (так что вы можете увидеть eth0 для порта WAN и агрегированный eth1 для всех портов LAN), что означает, что вы не можете различать порты в пользовательской микропрограмме, и вам потребуется отдельный (управляемый) коммутатор для применения теги, прежде чем он достигнет маршрутизатора.
    • Функциональные возможности беспроводной связи также различаются в зависимости от оборудования и варьируются от нестабильной до стабильной, но без поддержки виртуальной точки доступа, до стабильной с поддержкой виртуальной точки доступа (и маркировки VLAN).
    • Любая встроенная функциональность модема может не работать. Это при условии, что у вас нет отдельного модема.
  • Вы можете в значительной степени забыть о потребительских маршрутизаторах, поддерживающих VLAN в стандартной прошивке. Те немногие, которые это сделают, превратят вашу жизнь в ад и, вероятно, не будут поддерживать задуманную вами расширенную настройку (лучшее, что я видел, это на миллиардах устройств, которые иногда позволяют «группировать» порты в VLAN).
  • Один (значительно более сложный) вариант - создать свой собственный бокс. Можно купить мини-сервер x86 или ARM (аналогичный NUC) с несколькими сетевыми картами, которые затем можно загрузить ОС маршрутизатора (например, pfSense; вы даже можете сделать это с обычным Linux) и настроить. Вы также можете установить несколько сетевых адаптеров на стандартный ПК ATX, добавить карты WLAN и т. Д. Это наиболее гибкий вариант, но он требует много работы и исследований - и тоже не будет дешевым. Это сообщение в блоге Coding Horror - хорошее место для начала.

Я рассмотрю несколько случаев в порядке возрастания сложности.

Проводная сеть с отдельными сетевыми устройствами

Это довольно просто, поскольку сеть VLAN идет.

Тебе нужно:

  • Роутер. Надлежащий маршрутизатор, а не просто потребительский шлюз. Вы просматриваете либо оборудование для бизнеса / предприятия, либо пользовательские прошивки. Он должен поддерживать VLAN, маршрутизацию между VLAN и шлюз NAT в открытый интернет.
  • Управляемый коммутатор, который позволит вам назначить VLAN (тег) порты. Хотя вам нужна поддержка 802.1Q, у вас также должен быть интерфейс управления! Будьте осторожны с « интеллектуальными коммутаторами » - большинство из них будет работать, но, например, серия Easy Smart Switch от TP-Link не имеет веб-интерфейса и требует программы Windows для управления ими.

Это довольно просто. Вы помечаете кадры, когда они поступают в коммутатор, что предотвращает прямую связь VLAN друг с другом. Затем вы можете маршрутизировать между VLAN (как если бы они были полностью отдельными сетями - ваш маршрутизатор, вероятно, будет показывать их как отдельные (виртуальные) интерфейсы). Вы можете, в зависимости от вашего маршрутизатора, настроить правила брандмауэра, чтобы разрешить доступ к Интернету только определенным VLAN и только одна VLAN могла инициировать соединения с другим (т. Е. Односторонним).

Кроме того, не забывайте предотвращать доступ VLAN к интерфейсу управления вашего сетевого оборудования!

Беспроводная сеть с отдельными сетевыми устройствами

Что вы добавляете в проводную сеть, чтобы сделать ее беспроводной? Точки беспроводного доступа! К сожалению, это немного непонятное требование для домашнего использования, поэтому вам придется придерживаться бизнес-оборудования или просматривать руководства и сообщения на форуме. Кастомная прошивка тоже может работать здесь.

Существует также решение для бедного человека, состоящее в том, чтобы физически разделить точки доступа, которые просто подключаются к различным портам коммутатора и позволяют коммутатору обрабатывать теги.

С AP, который поддерживает маркировку VLAN, самый простой метод должен маркировать по сети (SSID). Возможность иметь несколько беспроводных сетей на одной точке доступа иногда называют виртуальными точками доступа.

Проводная сеть в одном сетевом устройстве

Есть несколько бизнес / корпоративных маршрутизаторов с несколькими портами, которые могут выступать в качестве псевдопереключателя (через мост). Кастомная прошивка также может работать с оговоркой, упомянутой выше (ваше оборудование должно предоставлять порты как независимые сетевые адаптеры для программного обеспечения). Если у вас много проводных устройств, вам также может понадобиться добавить дополнительный управляемый коммутатор.

Беспроводная сеть в одном устройстве

Мне не известны какие-либо бизнес / корпоративные маршрутизаторы, которые также интегрируют точку доступа, поэтому вы застряли на потребительском оборудовании. Такая настройка может быть возможна с пользовательской прошивкой. Поиск оборудования, которое работает с кастомными прошивками для каждой функции одновременно, может быть затруднено.

Быстрая рекомендация

Я бы посоветовал взглянуть на линейку Ubiquiti Unifi для нескольких устройств, чтобы найти что-то простое, относительно простое в настройке и надежное. Это, конечно, не самый дешевый вариант. Тем не менее, он позволяет вам управлять несколькими устройствами из одного центрального местоположения.

В противном случае вы можете рассмотреть ручную настройку нескольких устройств. Например, я использую (в качестве надежного / дешевого посредника) маршрутизатор Ubiquiti ER-X (не-Unifi), управляемый коммутатор TP-Link («Smart Switch», а не «Easy Smart Switch») и точки доступа Unifi, все самостоятельно управляется. Дешевле, но несколько сложнее.

Самый дешевый вариант - пойти с потребительским оборудованием и прошить его кастомными прошивками. DD-WRT и OpenWrt оба варианта, и это делает позволит вам реализовать ваши цели одного устройства, но и самые неудобные и, вероятно, наиболее к сбоям метод. Опять же, имейте в виду требование независимой сетевой карты и возможность дополнительного коммутатора, если вам не хватает портов.

Спасибо @bob, ты сделал намного больше справедливости, чем я когда-либо мог. djsmiley2k 5 лет назад 0
Спасибо @bob, невероятно подробно! Скорее всего, мне понадобится неделя или две, чтобы прочитать все, что вы упомянули, но определенно отличная отправная точка! Я также добавил график того, как я представляю сеть на один день. fußballball 5 лет назад 0
@ fußballball Не беспокойся. Не стесняйтесь задавать более подробные вопросы по мере их появления, или, возможно, ткните меня в чате для более интерактивного обсуждения. (PS Я только что отредактировал в разделе о скорости, но в целом вам будет хорошо, если ваше интернет-соединение не превышает 100 Мбит / с.) Bob 5 лет назад 0
@ fußballball Я только что понял, что пропустил ваши дополнительные вопросы, поэтому я добавлю некоторые заметки: некоторые устройства IoT являются локальными, в то время как другие * требуют * доступа в Интернет. Может быть трудно узнать, к какой категории вы относитесь, не испытывая ее. Брандмауэр VLAN + лучше - вы можете выполнять большую часть брандмауэра контроля доступа на маршрутизаторе, а не на каждом отдельном устройстве. Без виртуальных локальных сетей устройства локальной сети могли бы общаться друг с другом в обход любого межсетевого экрана маршрутизатора, поэтому вам потребуется много межсетевых экранов уровня устройства. Bob 5 лет назад 1
@ Боб спасибо, это очень помогает! Как руководство, все продукты Ubiquiti интегрированы (думают о покупке подержанных)? И, в другой теме, являются ли большинство межсетевых экранов маршрутизатора достаточно безопасными или рекомендуется внешнее оборудование? fußballball 5 лет назад 0
@ fußballball Ubiquiti имеет несколько линий продуктов. Все продукты в линейке Unifi интегрированы с одним центральным контроллером. Линия EdgeRouter является отдельной (хотя они работают на «UNMS» для интеграции * всего *). В пределах диапазона Unifi «шлюз безопасности UniFi» служит в качестве брандмауэра / маршрутизатора и т. Д. Что касается брандмауэров, то это действительно зависит от того, где он существует (на маршрутизаторе он может блокировать кросс-VLAN, на отдельных хостах он может иметь больше знание о приложениях). Корпоративные брандмауэры более высокого уровня могут выполнять более глубокую проверку и классификацию пакетов, но для вас это излишне. Bob 5 лет назад 1
@Bob Мне хотелось сообщить вам, что я купил USG, коммутатор и точку доступа UniFi по доступным ценам (всего 200 штук, это были выставочные залы). Поскольку я перееду в новую квартиру только в октябре, у меня будет время, чтобы задать больше вопросов или дать подробный отзыв. Кстати, я также купил Bufallo Airstation N300, поскольку он поддерживает DD-WRT для 25 - я думаю, это будет больше игрушкой. Спасибо за вашу помощь! fußballball 5 лет назад 0
@ fußballball Отлично! Вы можете найти [это] (https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing) полезным. В противном случае, не стесняйтесь задавать конкретные вопросы или просто зайдите в [chat] (https://chat.stackexchange.com/rooms/118/root-access) для общего обсуждения :) Bob 5 лет назад 0
@Bob Круто, сделаю! Кроме того, в случае, если вам интересна безопасность в наши дни ... [this] (https://hashcat.net/forum/thread-7717.html), похоже, указывает на то, что большинство маршрутизаторов просто стали менее безопасными. fußballball 5 лет назад 0
@ fußballball Эх ... не совсем. Начнем с того, что эта атака затрагивает только WAP, а не маршрутизаторы - поэтому в такой сети с несколькими устройствами вам когда-либо придется обновлять WAP (возможно, просто обновление программного обеспечения). И даже тогда эта атака не более серьезна, чем существующие атаки - она ​​обходит необходимость прослушивать существующий клиент (что было возможно навсегда), но такая же необходимость взломать хэш остается. Это могло бы иметь большее значение для специальных AP управления (например, светофоров и т. Д.), Которые очень редко имеют клиента. Bob 5 лет назад 0

Похожие вопросы